kl3vb45
11.08.2019
view2822
view9
0
Goto Top

Domainzertifikat Problem

gelöstFrageSicherheitVerschlüsselung, Zertifikate
Hallo Community,
ich habe mal eine Frage zu folgendem Fall:

Zwei Unternehmen wollen eine E-Mail-Verschlüsselung untereinander via S/MIME.
Admin 1 von Unternehmen 1 kauft für jede E-Mail-Adresse der Firma ein Zertifikat von Globalsign und schickt dieses zu Admin 2 im Unternehmen 2. Bislang hat Admin 2 von Unternehmen 2 das auch so gemacht, jetzt allerdings hat Admin 2 ein Domainzertifikat bestellt um nicht für jede E-Mail-Adresse ein eigenes Zertifikat bestellen zu müssen. Admin 1 verschickt seine E-Mails über das Programm Thunderbird und hat das Domainzertifikat auch bei Thunderbird unter Personen eingespielt, da dieses Zertifikat aber nur eine E-Mail als Besitzer hat, kann Admin 1 auch nur an diese eine E-Mail verschlüsselt senden, bei allen anderen E-Mail-Adressen kommt der Fehler, dass keine Zertifikate für diese E-Mail existiert. Wie kann man das Problem am einfachsten lösen?
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 484362

Url: https://administrator.de/forum/domainzertifikat-problem-484362.html

Ausgedruckt am: 22.04.2025 um 10:04 Uhr

9 Kommentare
Neuester Kommentar
Goto Top
cykes
cykes 11.08.2019 um 10:39:47 Uhr
Goto Top
Hallo,


Zitat von @Kl3vb45:

[...] jetzt allerdings hat Admin 2 ein Domainzertifikat bestellt [...]
Was für ein Zertifikat wurde genau bestellt? Mit einem Wildcard bspw. funktioniert das so nicht, da es nicht für S/MIME Signierung/Verschlüsselung gedacht ist. Dann tritt genau der beschriebene Effekt ein.

Wie kann man das Problem am einfachsten lösen?
Admin2 muss die korrekten Zertifikate kaufen. Zusätzlich können die Zertifikate in einer eigenen PKI verwaltet werden, einige Anbieter - wie bspw. Globalsign - bieten dafür Managed PKI an(vgl. >hier<, dort kann man die Zertifikate selbst ausstellen und verwalten, das ganze lässt sich dann auch noch ans lokale AD andocken zur Verteilung der S/MIME Zertifikate. Das lohnt sich aber erst bei einer entsprechend größeren Umgebung, bei bspw. 10 oder 20 Benutzern ist die einzelne Bestellerei zwar sicher nervig, aber der einfachere Weg.

Gruß

cykes
heart1
cykes
cykes 11.08.2019 um 11:24:37 Uhr
Goto Top
...anders ausgedrückt: es wäre ja auch - harmlos ausgedrückt - kontraproduktiv, wenn alle Benutzer an Standort 2 das gleiche Zertifikat für die Verschlüsselung verwenden würden. Da braucht schon jede Mailadresse ihr eigenes Zertifikat.
heart1
Kl3vb45
Kl3vb45 11.08.2019 um 11:38:29 Uhr
Goto Top
Hallo Cykes, vielen Dank erstmal für die Antworten. Also gehe ich richtig in der Annahme , dass ein S/MIME Zertifikat nur für eine E-Mail-Adresse ausgestellt werden kann und das Multidomain- und Wilcardzertifikate alleine für die SSL-Verschlüsselung von Webseiten gedacht sind?
cykes
cykes 11.08.2019 um 12:18:35 Uhr
Goto Top
Zitat von @Kl3vb45:

Also gehe ich richtig in der Annahme , dass ein S/MIME Zertifikat nur für eine E-Mail-Adresse ausgestellt werden kann und das Multidomain- und Wilcardzertifikate alleine für die SSL-Verschlüsselung von Webseiten gedacht sind?
Wildcards laufen ja auch auf den Namen *.domain.tld und nicht auf *@domain.tld (die gibt es entsprechend auch nicht), bezüglich Mail sind diese nur noch mailserverseitig für Transportverschlüsselung (TLS) verwendbar. Ansonsten benötigt für die Ende-Zu-Ende-Verschlüsselung via S/MIME natürlich jedes Postfach sein eigenes Zertifikat. Das muss dann auch auf sämtlichen von dem jeweiligen Benutzer genutzen Geräten eingebunden werden. Ansonsten könnte ja jeder Benutzer an Standort 2 die verschlüsselten Mails lesen.

Ob eine Transportverschlüsselung ausreichend ist, können nur die beiden involvierten Standorte bzw. "Mailer" entscheiden. Das kommt auf den Mailinhalt und die Sicherheitsanforderungen an. Noch komplizierter wird es bei S/MIME wenn die Postfächer (temporär) freigegeben werden (müssen), das persönliche Zertifikat sollte man nicht aus der Hand geben.
Ggf. kann man auch aus eine entsprechende Mail-Security-Appliance zurückgreifen, die die Verwaltung etwas vereinfacht.
heart1
Kl3vb45
Kl3vb45 11.08.2019 um 13:46:31 Uhr
Goto Top
Also ich hab mich eben noch mal schlau gemacht und dabei ist herausgekommen, dass Admin 2 ein Verschlüsselungsgateway(Virtuelle Posstelle), welches anscheinend die E-Mails verteilt, benutzt und Admin 1 nur das Gatewayzertifikat gegeben hat. So soll keine end-to-end, sondern eine gateway-to-gateway kommunikation erreicht werden. Gibt's da keine Möglichkeit vom Benutzer zum Gateway zu schreiben, ohne eine extrem teure Gatewaylösung zu kaufen?
cykes
cykes 11.08.2019 um 14:07:33 Uhr
Goto Top
Zitat von @Kl3vb45:

Gibt's da keine Möglichkeit vom Benutzer zum Gateway zu schreiben, ohne eine extrem teure Gatewaylösung zu kaufen?
Die gibt es sicher schon, dazu bräuchten wir aber ein paar zusätzliche Informationen:
  • Hat Unternehmen 1 (also vermutlich Deins ;)) einen eigenen Mailserver lokal installiert oder gehen die ausgehenden Mails über den Mailserver des Domain-Anbieters/Hosters bzw. Providers raus?
  • Das Verschlüsselungsgateway bei Unternehmen 2 setzt nur Transportverchlüsselung ein oder signiert/verschlüsselt es die Mails mit S/MIME, wobei die passenden Zertifikate dann auf dem Gateway pro Benutzer hinterlegt sind?
  • Hast Du auch die Information bekommen, um welches Gateway es sich genau handelt, dann kann man mal recherchieren, wie das genau umgesetzt ist. Es gibt näm,lich durchaus auch noch weitere Ansätze zum Thema Mailverschlüsselung.
Kl3vb45
Kl3vb45 11.08.2019 um 15:02:06 Uhr
Goto Top
  • Das Unternehmen 1 hat einen lokalen Mailserver.

  • Eigentlich hat das gesamte Unternehmen 2 S/MIME Verschlüsselung, und würde mich auch wundern wenndem jetzt auf einmal nicht mehr so wäre.

  • Leider nicht, da war nur ein Gateway-Zertifikat und es hieß, das wäre für alle *@Domain.de Adressen gültig.
Kl3vb45
Kl3vb45 11.08.2019 um 16:05:38 Uhr
Goto Top
Würde es reichen, wenn die Benutzer des Unternehmens 2 mir eine signierte und verschlüsselte Nachricht schicken? Damit müsste ich doch den öffentlichen Schlüssel von der jeweiligen Benutzer E-Mail erhalten. Oder kann ich das Gateway-Zertifikat auf den Mailserver legen?
cykes
Lösung cykes 11.08.2019 aktualisiert um 17:13:02 Uhr
Goto Top
Zitat von @Kl3vb45:

  • Das Unternehmen 1 hat einen lokalen Mailserver.
Dann steht der Transportverschlüsselung diesbezüglich ja nichts im Wege, gültiges TLS-Zertifikat und entsprechende Konfiguration vorausgesetzt.
* Eigentlich hat das gesamte Unternehmen 2 S/MIME Verschlüsselung, und würde mich auch wundern wenndem jetzt auf einmal nicht mehr so wäre.
Was passiert denn, wenn ein Benutzer aus Unternehmen 2 eine Mail an einen Benutzer aus Unternehmen 1 schreibt, kommt diese signiert mit einem S/MIME-Zertifikat an oder nicht?
* Leider nicht, da war nur ein Gateway-Zertifikat und es hieß, das wäre für alle *@Domain.de Adressen gültig.
Dann hat admin2 entweder keine Ahnung oder die "Virtuelle Posstelle" (ist damit das Produkt vom BSI bzw. Bund gemeint? -> https://de.wikipedia.org/wiki/Virtuelle_Poststelle oder gar beA bzw. EGVP?) nicht komplett verstanden. Das Gateway-Zertifikat brauchst Du i.d.R. nicht, das handeln die Mailserver via TLS unter sich aus, sofern der MX-Eintrag im DNS von domain2 korrekt gesetzt ist. Das Gateway-Zertifikat hat auch wenig mit den Postfächern *@domain2.de zu tun. Das dürfte darin getrennt behandelt werden oder auf Clientseite.
Auf jeden Fall bekommt man als externer keinen Zugriff auf EGVP bzw. beA.
heart1
gelöstFrageSicherheitVerschlüsselung, Zertifikate
Heiß diskutiert
MysticFoxDEWindows 11 - Unerträgliche Ressourcenverschwendung - groteske RAM ReservierungenMysticFoxDE - 62 KommentareMaba90Batch oder PS Skript startet Programm nur als Prozess ohne GUIMaba90 - 37 KommentaremirdochegalServer 2025 DC - verliert nach reboot Domänenfirewallprofil - nicht als DC erreichbarmirdochegal - 32 KommentareMysticFoxDEWindows 11 - Unerträgliche RessourcenverschwendungMysticFoxDE - 32 KommentareYan2021NUC als NAS verwenden?Yan2021 - 28 KommentareNeurothikerMikrotik - wie ändere ich ein Interface von slave auf master?Neurothiker - 26 Kommentaremorpheus82Lancom Router DHCP Zuweisungenmorpheus82 - 21 KommentareStefanKittelCVE am Ende?StefanKittel - 20 Kommentarepsimon87Serverschrank im Garten (in der "Gartenhütte")psimon87 - 18 KommentareManuManu2021Handelsregister.de nicht aufrufbarManuManu2021 - 16 KommentareTenniscrackUSB Stick mit Windows 2 Go erstellenTenniscrack - 15 Kommentaregerry56Netzwerk-Problem mit unterschiedlichen Betriebssystemengerry56 - 15 KommentareMT-Fan0815"Kreative" Tricks mit Mikrotik beim Telekom Glasfasermodem2MT-Fan0815 - 14 Kommentare